Alexandr
а ты...
Alexandr
Andrey
Vladimir
Alexandr
С чего б ?
Alexandr
Не, то, что оно не будет работать - это дело второе )
Alexandr
Сам клустер-то собирется )
Volodymyr
а ты точно сетевой инженер ?
Evgeniy
пацаны, кому айфон
Evgeniy
Всем привет.
Evgeniy
Может кто разбирается, клиент когда ssl сертификат проверяет, он его в центр сертификации весь отправляет или как?
Evgeniy
не найду инфу
Volodymyr
а причем ocsp ?
Volodymyr
я думаю он не про crl, ocsp
Volodymyr
хотя, хз, что он имеет ввиду
Volodymyr
Evgeniy какой центр сертификации?
Evgeniy
Смотрите. Firefox от сервера получил сертификат и хочет проверить. Он эти сертификаты передает на проверку в CA или получает от CA ключ, которым сам проверяет?
Stanislav
У фирефокса вообще вроде свой набор
Stanislav
Ему на системные пофиг
Evgeniy
Хочу связать клиентскую программу с сервером по TLS, но при "рукопожатии" тянутся 6KB (цепочка сертификатов) с сервера. Возможно ли как-то решить задачу не перекидывая сертификаты?
Evgeniy
а че такого в чепочке с сервера?
Volodymyr
Evgeniy
сервер передает сертификат в server hello
да, можно как-то обойти этот шаг? Например что-то в клиент вшить
Evgeniy
и?
Volodymyr
7.4.2. Server Certificate
When this message will be sent:
The server MUST send a Certificate message whenever the agreed-
upon key exchange method uses certificates for authentication
(this includes all key exchange methods defined in this document
except DH_anon). This message will always immediately follow the
ServerHello message.
Meaning of this message:
This message conveys the server's certificate chain to the client.
The certificate MUST be appropriate for the negotiated cipher
suite's key exchange algorithm and any negotiated extensions.
Volodymyr
https://www.ietf.org/rfc/rfc5246.txt
Stanislav
Уходи на хттп )
Volodymyr
certificate_list
This is a sequence (chain) of certificates. The sender's
certificate MUST come first in the list. Each following
certificate MUST directly certify the one preceding it. Because
certificate validation requires that root keys be distributed
independently, the self-signed certificate that specifies the root
certificate authority MAY be omitted from the chain, under the
assumption that the remote end must already possess it in order to
validate it in any case.
Evgeniy
Мне необходимо создать безопасную передачу данных в условиях медленного интернета
Uncel
Заюзать tls 1.3
Uncel
Забить на тлс и прочие текстовые протоколы совсем
Uncel
Пускать весь трафик через гейт с ебическим сжатием
Evgeniy
Шифруйте кузнечиком
Uncel
https://tools.ietf.org/html/draft-ietf-tls-tls13-28#section-2.3
Volodymyr
может это Илон Маск )
Uncel
Придется терпеть
Volodymyr
ну можно с сервера без бандла отправлять
Evgeniy
увы
Volodymyr
сервер то под твоим контролем ?
Uncel
Жаст фор лулз можно квик гугла заюзать
Uncel
Емнип он меньше
ntwrk_bot
Добро пожаловать! Ознакомиться с правилами группы можно по ссылке.
oleg
Коллеги, есть задача поднять IPIP туннель на пограничном Juniper MX5
Сходу задача не решилась
set interfaces ip-0/0/0 unit 0 tunnel source 1.2.3.4 destination 5.6.7.8
set interfaces ip-0/0/0 unit 0 family inet address a.b.c.d/30
commint check ; commit and-quit
show int ipip
созданный интерфейс не показывает
В настройках всё есть
Почитал документацию в интернете, нашёл статейку http://subnets.ru/blog/?p=1489
https://www.juniper.net/documentation/software/junos/junos95/swconfig-layer-2/conf-tunnel-interfaces-on-mx.html
Как я понял из документации выше - под туннельный интерфейс надо выделить отдельный PIC на одном и FPC?
>> The Packet Forwarding Engine of a 10-Gigabit Ethernet 4-port DPC supports either tunnel interfaces or Ethernet interfaces, but not both.
Или не так?
Evgeniy
У вас не iot?
да iot. Я вот думаю, возможно проще на этапе регистрации зашить приватный ключ в устройство и уже сразу общаться зашифрованно
Evgeniy
а-то придумываю всякие tls
Tema
Коллеги, есть задача поднять IPIP туннель на пограничном Juniper MX5
Сходу задача не решилась
set interfaces ip-0/0/0 unit 0 tunnel source 1.2.3.4 destination 5.6.7.8
set interfaces ip-0/0/0 unit 0 family inet address a.b.c.d/30
commint check ; commit and-quit
show int ipip
созданный интерфейс не показывает
В настройках всё есть
Почитал документацию в интернете, нашёл статейку http://subnets.ru/blog/?p=1489
https://www.juniper.net/documentation/software/junos/junos95/swconfig-layer-2/conf-tunnel-interfaces-on-mx.html
Как я понял из документации выше - под туннельный интерфейс надо выделить отдельный PIC на одном и FPC?
>> The Packet Forwarding Engine of a 10-Gigabit Ethernet 4-port DPC supports either tunnel interfaces or Ethernet interfaces, but not both.
Или не так?
> show configuration chassis
routing-engine {
on-disk-failure disk-failure-action reboot;
}
aggregated-devices {
ethernet {
device-count 10;
}
}
fpc 0 {
pic 0 {
tunnel-services {
bandwidth 10g;
}
}
}
Uncel
Evgeniy
?))
Uncel
И принимать миньонов на сервере
oleg
> show configuration chassis
routing-engine {
on-disk-failure disk-failure-action reboot;
}
aggregated-devices {
ethernet {
device-count 10;
}
}
fpc 0 {
pic 0 {
tunnel-services {
bandwidth 10g;
}
}
}
угумс, тока у меня fpc0 pic0 = 4x10ge через которую всё бегает.
я если на неё tunnel-services напишу, обычный ip-трафик не отлетит?
oleg
а вот в fpc1 pic0 + pic1 стоят 10x1ge но не используются.
Volodymyr
да хз, а какой вариант, кроме тлс то
Volodymyr
там же типа принято вроде даже тлс юзать
oleg
нет
Tema, ключевой момент который меня напряг
The Packet Forwarding Engine of a 10-Gigabit Ethernet 4-port DPC supports either tunnel interfaces or Ethernet interfaces, but not both.
...
Volodymyr
Tema
oleg
show chassis hardware
Hardware inventory:
Item Version Part number Serial number Description
Chassis G3943 MX5-T
Midplane REV 08 711-038215 CABD2155 MX5-T
PEM 0 Rev 05 740-028288 XA00857 AC Power Entry Module
PEM 1 Rev 05 740-028288 XA00618 AC Power Entry Module
Routing Engine BUILTIN BUILTIN Routing Engine
TFEB 0 BUILTIN BUILTIN Forwarding Engine Processor
QXM 0 REV 06 711-028408 CABC8033 MPC QXM
FPC 0 BUILTIN BUILTIN MPC BUILTIN
MIC 0 BUILTIN BUILTIN 4x 10GE XFP
PIC 0 BUILTIN BUILTIN 4x 10GE XFP
Xcvr 0 NON-JNPR XF33860015 XFP-10G-LR
Xcvr 1 !m NON-JNPR D13012513 XFP-10G-LR
FPC 1 BUILTIN BUILTIN MPC BUILTIN
MIC 0 REV 27 750-028392 CABF2869 3D 20x 1GE(LAN) SFP
PIC 0 BUILTIN BUILTIN 10x 1GE(LAN) SFP
PIC 1 BUILTIN BUILTIN 10x 1GE(LAN) SFP
Fan Tray Fan Tray
вот вроде как нету упоминания по dpc
oleg
сыкотно
я за 3000 км от роутера :).
поэтому и переспрашиваю
Tema
будет так
alisenkov@A> show interfaces terse | match "gre|ip"
ip-0/0/0 up up
gre up up
ipip up up
pip0 up up
alisenkov@A2-05>
Volodymyr
сыкотно
я за 3000 км от роутера :).
поэтому и переспрашиваю
[edit]
gang# run show interfaces terse gr-0/0/0
Interface Admin Link Proto Local Remote
gr-0/0/0 up up
gr-0/0/0.0 up up inet 172.22.255.1/30
mpls
Volodymyr
[edit]
gang# run show interfaces terse gr-0/0/0
Interface Admin Link Proto Local Remote
gr-0/0/0 up up
gr-0/0/0.0 up up inet 172.22.255.1/30
mpls
gang# run show version
Model: mx80
Junos: 15.1R6-S6.1
oleg
👍
oleg
в яблочко
Volodymyr
И говорит им это python
Wingman
Народ, подскажите плз кто шарит, я в ждунах вообще ни в зуб ногой
Re-s-1800x4-32g --2шт
Блоки питания --4шт
Scbe. --2шт
mpc-3d-16xge-sfpp --1шт
Шасси BP3
Норм коробка? Под asbr, bgp, десятки пиров, десятки Гбит/с, штук 5 fv